Последним этапом обмена ключами Kerberos является ключ, который используется между клиентом (или сервером) и центром KDC для распространения сеансовых ключей, применяемых для шифрования информации, передаваемой между клиентом и сервером.

Для этого как клиент, так и центр KDC совместно используют ключ длительного хранения, который является хэшированной версией пользовательского пароля на клиентской системе.

Пароль длительного хранения никогда не передается по сети. Когда пользователь Dima регистрируется в системе, клиент Kerberos на рабочей станции обрабатывает пароль посредством необратимого алгоритма хэширования, что приводит к созданию ключа шифрования. Этот ключ передается центру KDC, где осуществляется проверка соответствия хэша и хранимой записи, что происходит только при первой регистрации пользователя в сети.

При первой регистрации клиент Kerberos запрашивает у центра KDC сеансовый ключ и билет, который может применяться для последующей связи с KDC в процессе регистрации пользователя в системе. Это избавляет от необходимости постоянной генерации и проверки хэшированного пароля.

В свою очередь, центр KDC передает копию сеансового ключа, который генерируется с целью обеспечить взаимодействие KDC и клиента. Копия сеансового ключа шифруется с помощью ключа длительного хранения этого клиента (т.е. хэшированного пароля). Клиент может провести дешифрацию ключа с помощью кэшированного ключа длительного хранения.

Центр KDC также отправляет копию сеансового ключа, зашифрованную с помощью собственного ключа длительного хранения. Этот ключ длительного хранения известен, как билет для получения билета (TGT — Ticket-granting Ticket). Клиент будет в дальнейшем отправлять билет TGT центру KDC для использования TGT в роли обычного билета при обеспечении взаимодействия клиента и сервера. Только KDC может дешифровать билет TGT, поскольку только KDC содержит ключ длительного хранения, посредством которого был зашифрован сеансовый ключ.

Билет TGT действителен только после регистрации и уничтожается по завершению работы с системой; по этому причине билет TGT также известен, как “ключ сеанса регистрации”. При последующем обмене данными с KDC клиент отправляет обычный запрос, зашифрованный с помощью общего сеансового ключа, который известен клиенту и KDC, а также отправляет билет TGT, из которого можно извлечь сеансовый ключ, необходимый для взаимосвязи с клиентом. Это значит, что центр KDC не должен содержать список сеансовый ключей для каждого клиента.